Recientemente, cada vez más piratas informáticos utilizan el phishing de devolución de llamada. Una forma común de este ataque se conoce como entrega de ataque dirigido por teléfono (TOAD) y comienza con un correo electrónico de phishing que parece provenir de una empresa de buena reputación. Este correo electrónico indica al destinatario que llame al número de teléfono proporcionado en el correo electrónico.
Las llamadas son manejadas por atacantes expertos en ingeniería social que engañan a las víctimas para que instalen malware de acceso remoto o software de control remoto legítimo. Los atacantes los utilizan para obtener acceso a la red y distribuir ransomware.
Los operadores de ransomware perfeccionan constantemente sus métodos, incluida la búsqueda de afiliados que mejor se adapten a sus procesos operativos.
Los especialistas de TOAD son vistos como un componente crítico para el éxito de las organizaciones de amenazas de ransomware, razón por la cual se están llevando a cabo múltiples esfuerzos de reclutamiento clandestino.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Aquí, una persona experta obtiene acceso al sistema en nombre del Agente de Acceso Inicial (IAB) y ayuda a recuperar el dinero del rescate de la víctima.
Cadena de ataque típica de TOAD
Según el informe State of the Phish 2024 de Proofpoint, “más de 10 millones de ataques TOAD ocurren cada mes, y el 67% de las empresas en todo el mundo se vieron afectadas por ataques TOAD en 2023”.
Aumento de los ataques relacionados con el vishing
A finales de 2020 y principios de 2021, las técnicas TOAD fueron un factor importante en el panorama de amenazas clandestinas, comenzando con la campaña BazarCall (también conocida como BazaCall) que difundió el malware BazarLoader.
Otros actores, como grupos de ransomware y operadores de malware móvil, también han utilizado enfoques similares para robar pagos y datos confidenciales debido a la alta tasa de éxito de estas campañas.
El blog Intel471 informa que los expertos han detectado más operaciones de phishing de devolución de llamadas. Estas incluyen campañas que distribuyen malware conocido como BokBot, también conocido como IcedID e IceID, así como campañas que utilizan el tema de aprendizaje en línea MasterClass o el tema Standard Notes.
Desde enero de 2023 hasta agosto de 2024, se descubrió que aproximadamente 60 actores de amenazas brindaban servicios de llamadas clandestinas. Entre enero y agosto de 2024 hubo 23 ofertas, y en 2023 hubo 40 ofertas. varios servicios.
Los ataques relacionados con vishing han aumentado desde la segunda mitad de 2022. Es probable que esto sea el resultado de que múltiples atacantes y grupos de amenazas buscan aprovechar la tecnología TOAD para expandir sus operaciones.
Idioma especificado por el atacante al solicitar el servicio de llamadas subterráneas
Los investigadores observaron grupos de ransomware que buscaban autores de ataques centrados en ransomware en el primer trimestre de 2024. Un participante relativamente nuevo en el foro XSS buscaba personas de habla inglesa para realizar operaciones TOAD contra organizaciones en los Estados Unidos y Canadá en julio de 2024.
La persona que llamó supuestamente estaba proporcionando inteligencia de código abierto (OSINT) y soporte telefónico a un grupo de ransomware desconocido.
El software de modificación de voz Clownfish, el acceso a los servicios de voz sobre IP (VoIP) basados en el software MicroSIP y Narayana, los clientes VPN basados en OpenVPN y los servicios de suplantación de identidad de llamadas falsas se encuentran entre las herramientas integrales disponibles para las personas que llaman. recibir.
El servicio de phishing y spam de correo electrónico M00N proporcionó varios métodos para enviar correos electrónicos de phishing. QuattrO, también conocido como CallMix, el servicio de llamadas subterráneas Procallmix fue ofrecido por primera vez en mayo de 2019 por Audi, también conocido como Cartman, cartman, procallmix, un usuario desde hace mucho tiempo de la comunidad de cibercrimen Verified.
El servicio ofrece llamadas fraudulentas para llamadas fraudulentas comunes a bancos, servicios de entrega, minoristas en línea, etc., así como cuestiones complejas como realizar una compra por teléfono o solicitar que se envíe un paquete a otra ubicación.
Recomendaciones
Los empleados deben reconocer, eliminar y denunciar intentos de phishing, incluidas solicitudes inusuales y errores gramaticales. La información confidencial nunca debe divulgarse por teléfono, especialmente en respuesta a un correo electrónico que incluya solo un número de teléfono. Utilice tecnologías antisuplantación de identidad y autenticación de correo electrónico, como el marco de políticas del remitente (SPF), el correo identificado con claves de dominio (DKIM) y la autenticación, informes y conformidad de mensajes basados en dominio (DMARC). Fortalezca la autenticación de mensajes y eduque a los usuarios para que reconozcan las técnicas de ingeniería social de TOAD.
Estrategias para proteger su sitio web y API de ataques de malware => Webinar gratuito
Hackers Using Phone Calls to Attack Employee System With Malware
